Roma – I ricercatori hanno dimostrato la capacità di rubare un modello di intelligenza artificiale (IA) senza hackerare il dispositivo su cui era in esecuzione il modello. La tecnica è innovativa in quanto funziona anche quando il ladro non ha una conoscenza pregressa del software o dell’architettura che supporta l’IA.
Il documento, ” TPUXtract: An Exhaustive Hyperparameter Extraction Framework “, è pubblicato online dalla Conference on Cryptographic Hardware and Embedded Systems. Il documento è stato scritto in collaborazione da Anuj Dubey, ex studente di dottorato presso la NC State, e Ferhat Yaman, ex studente laureato presso la NC State. I ricercatori hanno comunicato a Google la vulnerabilità individuata.
“I modelli di intelligenza artificiale sono preziosi, non vogliamo che le persone li rubino”, afferma Aydin Aysu, coautore di un articolo sul lavoro e professore associato di ingegneria elettrica e informatica presso la North Carolina State University. “Costruire un modello è costoso e richiede notevoli fonti di elaborazione. Ma, cosa altrettanto importante, quando un modello viene trapelato o rubato, il modello diventa anche più vulnerabile agli attacchi, perché terze parti possono studiare il modello e identificare eventuali punti deboli”.
“Come sottolineiamo nel documento, gli attacchi di furto di modelli su dispositivi di intelligenza artificiale e apprendimento automatico minano i diritti di proprietà intellettuale, compromettono il vantaggio competitivo degli sviluppatori del modello e possono esporre dati sensibili incorporati nel comportamento del modello”, afferma Ashley Kurian, primo autore del documento e dottorando presso la NC State.
In questo lavoro, i ricercatori hanno rubato gli iperparametri di un modello di intelligenza artificiale in esecuzione su una Google Edge Tensor Processing Unit (TPU).
“In termini pratici, ciò significa che siamo stati in grado di determinare l’architettura e le caratteristiche specifiche, note come dettagli di livello, di cui avremmo bisogno per creare una copia del modello di intelligenza artificiale”, afferma Kurian.
“Poiché abbiamo rubato l’architettura e i dettagli dei livelli, siamo stati in grado di ricreare le funzionalità di alto livello dell’IA”, afferma Aysu. “Abbiamo quindi utilizzato quelle informazioni per ricreare il modello di IA funzionale, o un surrogato molto vicino a quel modello”.
I ricercatori hanno utilizzato Google Edge TPU per questa dimostrazione perché si tratta di un chip disponibile in commercio ampiamente utilizzato per eseguire modelli di intelligenza artificiale su dispositivi edge, ovvero dispositivi utilizzati dagli utenti finali sul campo, a differenza dei sistemi di intelligenza artificiale utilizzati per applicazioni di database.
“Questa tecnica potrebbe essere utilizzata per rubare modelli di intelligenza artificiale in esecuzione su molti dispositivi diversi”, afferma Kurian. “Finché l’attaccante conosce il dispositivo da cui vuole rubare, può accedere al dispositivo mentre esegue un modello di intelligenza artificiale e ha accesso a un altro dispositivo con le stesse specifiche, questa tecnica dovrebbe funzionare”.
La tecnica utilizzata in questa dimostrazione si basa sul monitoraggio dei segnali elettromagnetici. Nello specifico, i ricercatori hanno posizionato una sonda elettromagnetica sopra un chip TPU. La sonda fornisce dati in tempo reale sui cambiamenti nel campo elettromagnetico del TPU durante l’elaborazione AI.
“I dati elettromagnetici del sensore ci danno essenzialmente una ‘firma’ del comportamento di elaborazione dell’IA”, afferma Kurian. “Questa è la parte facile”.
Per determinare l’architettura del modello di intelligenza artificiale e i dettagli dei livelli, i ricercatori confrontano la firma elettromagnetica del modello con un database di altre firme di modelli di intelligenza artificiale realizzate su un dispositivo identico, in questo caso un’altra TPU di Google Edge.
Come possono i ricercatori “rubare” un modello di IA per il quale non hanno ancora una firma? È qui che le cose si complicano.
I ricercatori hanno una tecnica che consente loro di stimare il numero di livelli nel modello AI mirato. I livelli sono una serie di operazioni sequenziali che il modello AI esegue, con il risultato di ogni operazione che informa l’operazione successiva. La maggior parte dei modelli AI ha da 50 a 242 livelli.
“Piuttosto che cercare di ricreare l’intera firma elettromagnetica di un modello, il che sarebbe computazionalmente schiacciante, la suddividiamo per strato”, afferma Kurian. “Abbiamo già una raccolta di 5.000 firme di primo strato da altri modelli di IA. Quindi confrontiamo la firma di primo strato rubata con le firme di primo strato nel nostro database per vedere quale corrisponde più da vicino.
“Una volta che abbiamo eseguito il reverse engineering del primo strato, questo ci informa su quali 5.000 firme selezioniamo per il confronto con il secondo strato”, afferma Kurian. “E questo processo continua finché non abbiamo eseguito il reverse engineering di tutti gli strati e non abbiamo effettivamente creato una copia del modello AI”.
Nella loro dimostrazione, i ricercatori hanno dimostrato che questa tecnica è in grado di ricreare un modello di intelligenza artificiale rubato con una precisione del 99,91%. “Ora che abbiamo definito e dimostrato questa vulnerabilità, il passo successivo è sviluppare e implementare contromisure per proteggerci”, afferma Aysu.(30Science.com)
